Как защитить сайт HTTPS: SSL, редиректы и чек-лист

Q: Что значит защитить сайт HTTPS?

Это значит настроить защищенное соединение: установить SSL-сертификат, перевести все версии сайта на HTTPS, убрать mixed content, обновить canonical, sitemap и внутренние ссылки.

Q: Достаточно ли поставить SSL-сертификат?

Нет. Сертификат нужен, но также важны редиректы с HTTP, единая версия домена, отсутствие смешанного контента, корректные формы, sitemap, canonical и проверка в Вебмастере.

Q: Нужен ли HSTS?

HSTS полезен после стабильной настройки HTTPS: он говорит браузеру открывать сайт только по защищенному протоколу. Включать его стоит после проверки сертификата, редиректов и поддоменов.

Q: Влияет ли HTTPS на заявки?

Да. Предупреждения браузера и ошибки сертификата снижают доверие, мешают формам и могут отрезать часть пользователей до заявки.

Что именно защищает протокол

Шифрование защищает передачу данных: формы, авторизацию, корзину, личный кабинет, заявки и другие действия пользователя. Если сайт остается на HTTP, браузер показывает предупреждение и снижает доверие к странице.

Для SEO важна не только безопасность. Нужна единая основная версия сайта, чтобы поисковик не видел отдельные копии: старая версия, защищенная версия, `www` и вариант без `www`.

Если уже есть предупреждение "Не защищено", сначала используйте разбор сайт не защищен: как исправить. Эта статья про правильную настройку и контроль.

Шаг 1. Установить корректный SSL-сертификат

Сертификат должен быть действующим, выпущенным на нужный домен и установленным на сервере без ошибки цепочки. Проверьте основную версию, `www`, поддомены и технические адреса, если они используются.

СрокСертификат не должен быть просрочен, автопродление нужно проверить заранее.

ДоменИмя в сертификате должно совпадать с адресом, который открывает пользователь.

ЦепочкаБраузер должен доверять всем промежуточным сертификатам.

ПоддоменыЕсли есть `www`, личный кабинет или CDN-домен, их тоже нужно учесть.

Шаг 2. Настроить 301-редиректы на одну версию

После установки сертификата все технические варианты должны вести на один канонический защищенный адрес. Постоянный переезд лучше делать через 301, без цепочек и циклов.

`http://site.ru` ведет на `https://site.ru`.
`http://www.site.ru` ведет на выбранную основную версию.
`https://www.site.ru` не остается отдельной копией, если основная версия без `www`.
Внутренние ссылки сразу ведут на основную версию, а не проходят через редирект.

Проверьте это инструментом проверки редиректов. Если редиректы связаны с переездом или редизайном, полезен материал про 301, 302 и 404.

Шаг 3. Убрать mixed content

Mixed content возникает, когда страница открывается по защищенному протоколу, но часть ресурсов тянется по HTTP: изображения, скрипты, CSS, шрифты, iframe или старые виджеты. Браузер может заблокировать эти ресурсы.

Проверять нужно разные шаблоны: главную, услугу, статью, карточку товара, форму, оплату, личный кабинет. Часто проблема сидит не на всем сайте, а в одном типе страниц.

замените абсолютные HTTP-ссылки на защищенные адреса;
обновите шаблоны CMS, а не только одну страницу;
проверьте внешние скрипты и старые виджеты;
посмотрите консоль браузера после загрузки страницы;
проверьте формы после исправлений.

Шаг 4. Обновить SEO-сигналы

После перехода поисковые сигналы должны указывать на новую основную версию. Если sitemap содержит HTTP, canonical ведет на старый адрес, а внутренние ссылки ходят через редирект, настройка неполная.

CanonicalУказывает на защищенную версию текущей страницы.

SitemapСодержит только канонические защищенные URL без 404, noindex и редиректов.

Внутренние ссылкиВедут сразу на основную версию, без лишнего прохода через HTTP.

ВебмастерДобавлен правильный HTTPS-хост и актуальная карта сайта.

Если после настройки страницы плохо заходят в индекс, проверьте статью почему сайт не виден в поиске.

Шаг 5. Включать HSTS только после проверки

HSTS сообщает браузеру, что сайт нужно открывать только по защищенному протоколу. Это полезная защита, но включать ее стоит после стабильной настройки сертификата, редиректов и поддоменов.

Если включить HSTS до проверки, ошибка сертификата может стать болезненнее: браузер будет жестко требовать защищенную версию. Поэтому порядок такой: сначала сертификат, редиректы, mixed content, формы и поддомены, затем HSTS.

Чек-лист защиты сайта через HTTPS

SSL-сертификат действующий и выпущен на нужный домен.
HTTP отдает 301 на HTTPS.
`www` и без `www` сведены к одной версии.
Нет цепочек и циклов редиректов.
Внутренние ссылки ведут на защищенную версию.
Нет mixed content на основных шаблонах.
Формы, корзина и личный кабинет работают после настройки.
Canonical указывает на защищенную версию.
Sitemap содержит только канонические защищенные URL.
Вебмастер видит правильный хост и карту сайта.
HSTS включен только после проверки поддоменов.
Есть мониторинг срока сертификата.

Частые вопросы

Что значит защитить сайт HTTPS?

Это значит настроить защищенное соединение, перевести все версии сайта на основную безопасную версию, убрать смешанный контент и обновить SEO-сигналы.

Достаточно ли поставить SSL-сертификат?

Нет. Нужны редиректы, единая версия домена, корректные формы, sitemap, canonical и проверка в Вебмастере.

Нужен ли HSTS?

Да, но после проверки HTTPS. Сначала убедитесь, что сертификат, редиректы и поддомены работают без ошибок.

Влияет ли HTTPS на заявки?

Да. Ошибки сертификата и предупреждения браузера снижают доверие и могут остановить пользователя до отправки формы.

Нужно настроить HTTPS без SEO-ошибок?

Проверю сертификат, редиректы и индексацию

Разберу сертификат, sitemap, canonical, mixed content и формы, чтобы защита не создала дубли и потери заявок.

Заказать техSEO-проверку SEO-аудит Проверить редирект